据 Jet Protocol 官方博客发表,他们近期修正了一个赏金缝隙,这个缝隙会导致歹意用户能够提取任意用户的存款资金,慢雾安全团队对此缝隙进行了简要剖析,并将剖析结果共享如下。
(来源:https://www.jetprotocol.io/posts/jet-bug-disclosure)
相关信息
Jet Protocol 是运行在 Solana 上的一个借贷市场,用户可将账号里的代币(如:USDC、SOL)存入金库,赚取年化收益,一起也能够按必定的份额借出另一种代币。在这个过程中合约会给用户一个 note 凭据,作为用户未来的提款凭据,用咱们了解的字眼来说便是 LP,而本次缝隙产生的原因也和这个 LP 的规划有关。
咱们知道和以太坊合约比较,Solana 合约没有状态的概念,取而代之的是账号机制,合约数据都存储在相关联的账号中,这种机制极大提升了 Solana 的区块链性能,但也给合约编写带来了一些困难,最大的困难便是需求对输入的账号进行全面的验证。Jet Protocol 在开发时运用了 Anchor 结构进行开发,Anchor 是由 Solana 上的闻名项目 Serum 团队开发的,能够精简许多账号验证及跨合约调用逻辑。
Anchor 是如何工作的呢?咱们能够从 Jet Protocol 的一段代码说起:
programs/jet/src/instructions/init_deposit_account.rs
这儿的 deposit_account 账号便是用于存储 LP 代币数据的账号,用户在首次运用时,需求调用合约生成该账号,并付出必定的存储费用。
而这儿的#[account]宏界说限定了这个账号的生成规矩:
规矩 1:#[account(init, payer = <target_account>, space = <num_bytes>)]
这个束缚中,init 是指经过跨合约调用系统合约创建账号并初始化,payer=depositor 意思是 depositor 为新账号付出存储空间费用。
规矩 2:#[account(seeds = <seeds>, bump)]
这个束缚中将检查给定帐户是否是当前履行程序派生的 PDA,PDA (Program Derived Address)账号是一个没有私钥、由程序派生的账号,seed 和 bump 是生成种子,假如 bump 未供给,则 Anchor 结构默认运用 canonical bump,能够理解成主动赋予一个确定性的值。
运用 PDA,程序能够以编程办法对某些地址进行签名,而无需私钥。一起,PDA 保证没有外部用户也能够为同一地址生成有用签名。这些地址是跨程序调用的根底,它允许 Solana 应用程序相互组合。这儿用的是 "deposits" 字符 +reserve账号公钥 +depositor账号公钥作为seeds,bump则是在用户调用时传入。
规矩 3:#[account(token::mint = <target_account>, token::authority = <target_account>)]
这是一个 SPL 束缚,用于更简洁地验证 SPL 账号。这儿指定 deposit_account 账号是一个 token 账号,它的 mint 权限是 deposit_note_mint 账号,authority 权限是 market_authority。
Account 的宏界说还有许多,这儿略表不提,具体能够考虑文档:
https://docs.rs/anchor-lang/latest/anchor_lang/derive.Accounts.html
有了这些前置常识,咱们就能够直接来看缝隙代码:
-
programs/jet/src/instructions/withdraw_tokens.rs
正常情况下,用户调用函数 withdraw_tokens 提币时,会传入自己的 LP 账号,然后合约会毁掉他的 LP 并返还相应数量的代币。但这儿咱们能够看到 deposit_note_account 账号是没有进行任何束缚的,用户能够随意传入其他用户的 LP 账号。莫非运用别人的 LP 账号不需求他们的签名授权吗?
经过前面剖析宏界说代码,咱们现已知道了 market_authority 账号拥有 LP 代币的操作权限,确实不需求用户自己的签名。那么 market_authority 又是一个怎么样的账号呢?咱们能够看这儿:
programs/jet/src/instructions/init_market.rs
这个 market_authority 也是一个 PDA 账号。也便是说合约经过自身的调用就能够毁掉用户的 LP 代币。那么关于歹意用户来说,要发起进犯就很简略了,只需简略地把 deposit_note_account 账号设置为想要盗取的目标账号,withdraw_account 账号设置为自己的收款账号,就能够毁掉他的 LP,并把他的存款本金提现到自己的账号上。
最后咱们看一下官方的修正办法:
补丁中并未直接去束缚 deposit_note_account 账号,而是去除了 burn 操作的 PDA 签名,并将 authority 权限改成了 depositor,这样的话用户将无法直接调用这儿的函数进行提现,而是要经过另一个函数 withdraw()去间接调用,而在 withdraw()函数中账号宏界说现已进行了紧密的校验,歹意用户假如传入的是别人的 LP 账号,将无法经过宏规矩的验证,将无法经过宏规矩的验证,因为 depositor 需求满足 signer 签名校验,无法伪形成别人的账号。
programs/jet/src/instructions/withdraw.rs
总结
本次缝隙的发现过程比较有戏剧性,缝隙的发现人 @charlieyouai 在他的个人推特上共享了缝隙发现的心路历程,其时他发现 burn 的权限是 market_authority,用户无法进行签名,以为这是一个 bug,会导致调用失利且用户无法提款,于是给官方提交了一个赏金缝隙,然后就去吃饭睡觉打豆豆了。
然后官方开发者意识到了问题的严重性,严格地说,他们知道这段代码没有无法提现的缝隙,而是人人都能够提现啊,老铁,一个能良好运行的 bug 你知道意味着什么吗?!所幸的是没有进犯事情产生。
目前在 Solana 上产生过多起黑客进犯事情均与账号校验问题有关,慢雾安全团队提醒广阔 Solana 开发者,注意对账号系统进行紧密的检查。
